海外における個人情報流出事件とその対応 第208回 給与支払サービス大手でデータ漏えいか? (1)脆弱性を利用しマルウェアを配布 | ScanNetSecurity
2024.04.30(火)

海外における個人情報流出事件とその対応 第208回 給与支払サービス大手でデータ漏えいか? (1)脆弱性を利用しマルウェアを配布

 9月下旬に、米国の会社PayChoiceでシステムがサイバー犯罪者の侵入を受けた。最初にブログで取り上げたのは、Unixwiz.netのSteve Friedlだ。Steve Friedlはカリフォルニアに住むソフトウェアとネットワークセキュリティのコンサルタントだ。その後、Friedlが書いた内容

国際 海外情報
facebookLINE
 9月下旬に、米国の会社PayChoiceでシステムがサイバー犯罪者の侵入を受けた。最初にブログで取り上げたのは、Unixwiz.netのSteve Friedlだ。Steve Friedlはカリフォルニアに住むソフトウェアとネットワークセキュリティのコンサルタントだ。その後、Friedlが書いた内容を、9月30日付の『Washington Post』のセキュリティブログ、Security FixでBrian Krebsが取り上げたことで、セキュリティ関連のメディアが注目する事件となった。

 PayChoiceはニュージャージー州にある、給与処理サービスの会社で、この分野では米国最大手の1社だ。世界的なレベルの給与支払いスイートおよび雇用者のサービスのためのツールを用意している。PayChoiceの製品を使うことで、給与支払いや、記録、税金の申告などの"面倒"から開放されるというもので、240社の給与支払い会社に対して、給与支払い管理製品をライセンス供与している。また、この240社はさらに12万5,000社にサービスを提供している。

 Krebsは、9月23日、多数のPayChoices顧客が、PayChoiceのオンライン給与支払いサービスポータルonlineemployer.comから、サービスに続けてアクセスするためには、Webブラウザプラグインをダウンロードする必要があるとのe-mailを受信したと書いている。Friedlによると、偽のメールで、不正や詐欺、スパムメールなどを避けるために、特別なインターネットブラウザのプラグインをダウンロードすることを求めていたというものだ。

 e-mailでは、プラグインなしでは、メールが送信された5日後にあたる28日からはサイトにアクセスができなくなるとの警告も行われていた。時間を区切ることで、受信者は至急ダウンロードしなければならないという心理的圧力を受け、攻撃の効果は高くなると言えるだろう。しかし、e-mailはPayChoiceから実際に送付されたのではなく、プラグインは被害者のユーザ名やパスワードを盗み出そうとするものだった。、また、PayChoiceでは、影響を受けているのは、Online Employerを使っている顧客のみで、電話やファクスをはじめとする、Web以外のインプット方法を用いている顧客については無事だとしている。

 また、『NetworkWorld』の記事では、顧客の従業員情報への権限のないアクセスがあったという痕跡はないとしている。しかし、顧客に対して、従業員に銀行口座やクレジットカードの使用明細に注意しておき、異常があれば警察に届けるようにアドバイスすることを勧めている。

●メールに顧客ユーザ名とパスワードが表示

 Friedlは、e-mailの英語はあまり良い出来ではないとコメントして、英語圏以外から送信されていたことをほのめかしている。また、Friedlがポスティングしたe-mailのサンプルによると、送信者はOnline Employer Update Center、件名はOnline Employer ブラウザプラグインとなっている。Online EmployerはPayChoiceがライセンス供与をしているソフトウェアだ。

 Krebsは、「通常、フィッシング詐欺だと、無差別に多数の受信者に対してメールを送付する」が、「この攻撃ではPayChoicwの顧客の名前がメッセージの本文で使用されている」と指摘している。フィッシング詐欺の場合、犯罪者は金融機関などになりすまして、メールの受信者の一部が、その金融機関を利用しているという前提の下にメールを送付するというものだ。自分が使っている金融機関からの連絡だと誤解して、大量に送ったメールの受信者の何割かが、メールの指示にしたがい、マルウェアなどに感染してしまうのを狙う。

 しかし、PayChoiceでは、顧客名が表示され、それぞれの顧客にあててのメッセージだったということで、ターゲットをしぼった攻撃だ。受信者は宛名に自分の名前が出ていることで、実際にPayChoiceから送付されたメールだと信じてしまいやすい。さらに、メールの本文は、受信者の個人名に続き、onlineemployer.comのユーザ名と、一部のついてはサイトへのパスワード4文字分も含まれていたことで、受信者にとってはより信憑性の高いメールになっていた。

 これらのメールはYahoo!が無料で提供するWebメールを利用して送信されているが、e-mailで表示される送信元は"Online Employer Update Center"だ。メールでは、受信者に対して、マルウェアのファイルをダウンロードするために、幾つかのWebサイトにアクセスすることを求めている。Webサイトは、ポーランドのサーバでホスティングされていた。

●悪用されたセキュリティ脆弱性

 そして、リンクされていたサイトは、Webブラウザにおけるセキュリティ上の幾つかの欠点を悪用して、マルウェアをインストールしようとする。ダウンロードのオプションとして、Google Chrome、Opera、Internet Explorer、Mozilla Firefoxのいずれかを選ぶことができるように提示されているが、全てマルウェアがダウンロードされるようにリンクされていた。

 Krebsによると、MicrosoftのExplorerやアドビ社のFlashやReaderのセキュリティ上の脆弱性などを悪用して…

【執筆:バンクーバー新報 西川桂子】
──
※ この記事は Scan購読会員向け記事をダイジェスト掲載しました
購読会員登録案内
http://www.ns-research.jp/cgi-bin/ct/p.cgi?m-sc_netsec

《ScanNetSecurity》

PageTop

アクセスランキング

  1. 今日もどこかで情報漏えい 第23回「2024年3月の情報漏えい」なめるなという決意 ここまでやるという矜恃

    今日もどこかで情報漏えい 第23回「2024年3月の情報漏えい」なめるなという決意 ここまでやるという矜恃

  2. GROWI に複数の脆弱性

    GROWI に複数の脆弱性

  3. 雨庵 金沢で利用している Expedia 社の宿泊予約情報管理システムに不正アクセス、フィッシングサイトへ誘導するメッセージ送信

    雨庵 金沢で利用している Expedia 社の宿泊予約情報管理システムに不正アクセス、フィッシングサイトへ誘導するメッセージ送信

  4. インターネット専用宝くじで当選本数の登録誤り、1 等 200 万円 10 本が 200 本に

    インターネット専用宝くじで当選本数の登録誤り、1 等 200 万円 10 本が 200 本に

  5. セトレならまちで利用している Expedia 社の宿泊予約情報管理システムに不正アクセス、フィッシングサイトへ誘導するメッセージ送信

    セトレならまちで利用している Expedia 社の宿泊予約情報管理システムに不正アクセス、フィッシングサイトへ誘導するメッセージ送信

  6. 2023年「業務外利用・不正持出」前年 2 倍以上増加 ~ デジタルアーツ調査

    2023年「業務外利用・不正持出」前年 2 倍以上増加 ~ デジタルアーツ調査

  7. PlayStation公式になりすましたアカウントに注意喚起、個人情報要求DMも

    PlayStation公式になりすましたアカウントに注意喚起、個人情報要求DMも

  8. メール誤送信事故多発で悪名高いドッペルゲンガードメイン「gmai.com」はどこの誰が保有しているのか?

    メール誤送信事故多発で悪名高いドッペルゲンガードメイン「gmai.com」はどこの誰が保有しているのか?

  9. クラウド型データ管理システム「ハイクワークス」のユーザー情報に第三者がアクセス可能な状態に

    クラウド型データ管理システム「ハイクワークス」のユーザー情報に第三者がアクセス可能な状態に

  10. フィッシングサイトのドメイン「top」が最多、デジタルアーツ調査

    フィッシングサイトのドメイン「top」が最多、デジタルアーツ調査

ランキングをもっと見る
ホーム 国際 海外情報 記事
TOP